Cómo funciona y por qué es importante el uso de HTTPS

Clase 40 de 43 • Curso de Express.js 2018

El Protocolo seguro de transferencia de hipertexto (HTTPS) es un protocolo HTTP que funciona en el puerto 443 y utiliza un cifrado basado en SSL (Secure Sockets Layer) / TLS (Transmission Layer security) con el fin de crear un canal de comunicación seguro entre el cliente y el servidor.

Por qué usar HTTPS

Una de las razones por la cual siempre debemos usar sitios con HTTPS es que sin este cualquier individuo podría efectuar ataques conocidos como man-in-the-middle o eavesdropping y obtener nuestro usuario y contraseña en el momento en que intentamos acceder a este servicio que no tiene HTTPS establecido.

Cómo funciona

El cliente envía un mensaje al servidor y este responde con su certificado público.
El cliente comprueba que este certificado sea valido y toma la llave pública.
El cliente genera una cadena llamada pre-master secret y la encripta usando la llave publica del servidor y se lo envía.
El servidor usa su llave privada para comprobar el pre-master secret.
En ese momento tanto el cliente como el servidor usan el pre-master secret para generar un master secret que es usado como una llave simétrica.
Teniendo este par de llaves ya se pueden enviar mensajes seguros entre ellos.

Cómo habilitar HTTPS en nuestro servidor

Dependiendo el servicio de hosting que estemos usando puede ofrecernos o no una instalación de certificados de seguridad SSL/TLS que pueden tener algún costo. Sin embargo existen servicios como Let's Encrypt que permiten la instalación de este certificado completamente gratis. Servicios como Now y Heroku ofrecen HTTPS por defecto.

Más información:

Cómo funciona y por qué es importante el uso de HTTPS

Bienvenida e introducción

¿Dónde aprender Express.js actualizado?

Lo que aprenderás sobre Express.js

¿Qué es express y para qué sirve?

Creando tu primer servidor

Express application generator

Template Engines y archivos estáticos

Qué es template engine y cómo crearlo

Implementando un template engine

Usando Pug como template engine

Usando Handlebars como template engine

Creando nuestro layout de productos usando Pug

Manejo de archivos estáticos

Creando un API Restful

Anatomía de una API RESTful e implementación CRUD

Implementando nuestra capa de Servicios

Recapitulando el proyecto

Request object

Conectando Express.js con servicios externos

Conexión a Mongodb en Express.js

Conectando nuestros servicios con mongo DB

Implementando acciones CRUD en MongoDB

Configurar una cuenta en Amazon AWS

Middlewares: En el medio del request

Qué es un middleware y qué tipos existen

Manejo de errores usando un middleware

Validación de datos usando un middleware

Implementando Sentry para el manejo de log de errores

Qué es Joi y Boom y cómo configurar Joi

Configurando Boom y nuestra página 404

Middlewares populares

Autenticación en Express.js

JSON Web Tokens

Configuración y uso de Passport.js

Asegurando nuestra API e identificando rutas sensibles

Testing

Creando tests para nuestros endpoints

Creando tests para nuestros servicios

Creando tests para nuestras utilidades

Agregando coverage para ver la calidad de nuestras pruebas

Debugging e inspect

Deployment

Buenas prácticas para el despliegue en producción

npm script

Añadiendo manejo de cache y seguridad con helmet

Cómo usar las variables de entorno para diferente ambientes

Habilitando CORS en producción

Cómo funciona y por qué es importante el uso de HTTPS

Desplegando con Now y detectando vulnerabilidades con npm audit

Automatizar el chequeo de vulnerabilidades con snyk

Conclusiones